Программное обеспечение часто опирается на пакеты из различных источников, создавая зависимости, которые могут неосознанно привести к уязвимостям безопасности. Когда ваш код зависит от пакетов с известными уязвимостями, вы становитесь мишенью для злоумышленников, стремящихся использовать вашу систему — потенциально получая доступ к вашему коду, данным, клиентам или участникам. Dependabot alerts уведомляет вас о уязвимых зависимостях, чтобы вы могли обновиться до защищённых версий и защитить свой проект.
Когда Dependabot отправляет оповещения
Dependabot сканирует ветку вашего репозитория по умолчанию и отправляет оповещения, когда:
- Новые консультативные данные синхронизируются с GitHub каждый час от GitHub.com. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.
- Ваш граф зависимостей меняется — например, когда вы запускаете коммиты, обновляющие пакеты или версии
Для поддерживаемых экосистем см. AUTOTITLE.
Понимание оповещений
Когда GitHub обнаруживает уязвимую зависимость, на вкладке Security и графике зависимостей репозитория появляется предупреждение Dependabot. Каждое предупреждение включает:
- Ссылка на затронутый файл
- Подробности о уязвимости и её серьёзности
- Информация о фиксированной версии (когда доступна)
Для получения информации о просмотре и управлении уведомлениями см. АВТОЗАГОЛОВОК.
Включение оповещений
Администраторы репозиториев и владельцы организаций могут включать Dependabot alerts для своих репозиториев. При включении GitHub немедленно генерирует граф зависимостей и создаёт оповещения о любых уязвимых зависимостях, которые он идентифицирует.
Владельцы предприятия должны включить Dependabot alerts для ваш экземпляр GitHub Enterprise Server, прежде чем использовать эту функцию. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.
Уведомления о предупреждениях
По умолчанию GitHub отправляет уведомления о новых уведомлениях по электронной почте людям, которые одновременно:
- Имейте права на запись, поддержание или администраторские права на репозиторий
- Следим за репозиторием и включил уведомления о безопасности или о всей активности в репозитории
Независимо от настроек уведомлений, когда Dependabot впервые включен, GitHub не отправляет уведомления для всех уязвимых зависимостей, найденных в репозитории. Вместо этого вы получите уведомления о новых уязвимых зависимостях, определенных после включения Dependabot, если это разрешено.
Если вас беспокоит слишком много уведомлений, мы рекомендуем использовать Правила автообработки зависимостей для автоматического отклонения низкорисковых оповещений. Правила применяются перед отправкой уведомлений оповещений, поэтому оповещения, которые автоматически закрываются при создании, не отправляют уведомления. См . раздел AUTOTITLE.
Кроме того, вы можете выбрать еженедельный дайджест электронной почты или даже полностью отключить уведомления, сохраняя Dependabot alerts включено.
Ограничения
Dependabot alerts имеют некоторые ограничения:
- Оповещения не могут обнаружить все проблемы с безопасностью. Всегда проверяйте свои зависимости и держите манифест и файлы блокировки актуальными для точного обнаружения.
- Новые уязвимости могут потребовать времени, чтобы появиться в GitHub Advisory Database и вызвать оповещения.
- Только уведомления, проверенные GitHub, запускают оповещения.
- Dependabot не сканирует архивные репозитории.
- Dependabot не генерирует оповещения о вредоносном ПО.
- Для GitHub Actions, Dependabot alerts генерируются только для действий, использующих семантическое версионирование, а не версионирование SHA.
Дополнительные материалы
-
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates) -
[AUTOTITLE](/code-security/getting-started/auditing-security-alerts)